في عالم تتزايد فيه التهديدات الإلكترونية، برز تهديد لاندفول كأحد أخطر البرمجيات الخبيثة التي تستهدف مستخدمي أجهزة سامسونج جالاكسي. في هذا المقال، نستعرض تفاصيل هذا التهديد وكيفية استغلاله لثغرات في نظام أندرويد.
استغل بائع خاص محتمل لأدوات الأمن الهجومية ثغرة يوم الصفر في مكتبة معالجة الصور لنظام أندرويد من سامسونج لتثبيت أداة تجسس تجارية على مستخدمي هواتف جالاكسي في الشرق الأوسط.
استمرت الأنشطة الخبيثة من منتصف عام 2024 على الأقل حتى أبريل 2025، عندما أصلحت سامسونج الثغرة بعد أن أبلغها باحث عن المشكلة. اكتشف باحثون من فريق Unit 42 في Palo Alto Network الأداة التجسسية أثناء متابعتهم للتقارير العامة عن استغلالات تستهدف أجهزة iOS في وقت سابق من هذا العام.
تهديد لاندفول
أطلق الباحثون على البرمجيات الخبيثة اسم “لاندفول” ووصفوها في تقرير هذا الأسبوع كأداة تتيح لمشغليها تسجيل المحادثات سراً، وتتبع مواقع الأجهزة، والتقاط الصور، وجمع جهات الاتصال وسجلات المكالمات، وأداء مراقبة أخرى على الأجهزة المخترقة. لاحظ الفريق أن المهاجمين استغلوا CVE-2025-21042، وهو عيب حرج في مكتبة معالجة الصور من سامسونج، لتسليم البرمجيات الخبيثة من خلال ملفات الصور الرقمية المعدلة (DNG). أظهر تحليل Unit 42 أن المهاجمين أرسلوا الملفات المصورة المجهزة كسلاح عبر واتساب بشكل أساسي إلى أهداف في العراق وإيران وتركيا والمغرب.
سلسلة الاستغلال، وفقًا لـ Unit 42، تشبه عن كثب هجمات مماثلة تم اكتشافها على نظام iOS في نفس الوقت، مما يشير إلى نمط أوسع من الاستغلال المنسق الذي يستهدف ثغرات معالجة الصور عبر منصات الهواتف المحمولة المتعددة.
“من الظهور الأول للعينات في يوليو 2024، تسلط هذه الأنشطة الضوء على كيفية بقاء الاستغلالات المتطورة في المستودعات العامة لفترة طويلة قبل أن يتم فهمها بالكامل”، قال Unit 42 في تقريره. “يكشف تحليل المحمل عن أدلة على نشاط تجاري متقدم. تشير مكونات برنامج لاندفول التجسسي إلى قدرات متطورة للسرية، والاستمرارية، وجمع البيانات الشامل من أجهزة سامسونج الحديثة.”
نمط مقلق
تتناسب الأنشطة التي اكتشفها Unit 42 مع حملات مماثلة في السنوات الأخيرة حيث استخدمت الحكومات والوكالات الاستخباراتية وإنفاذ القانون أدوات تجسس متطورة متاحة تجارياً لمراقبة نشطاء حقوق الإنسان والمعارضين السياسيين ومراكز الفكر والصحفيين المعنيين. تشمل أشهر الشركات التي تقدم هذه الأدوات مجموعة NSO و برمجيات بيغاسوس الشهيرة، و Cytox/Intellexa’s Predator spyware ومجموعة أدوات Nova الخبيثة الأوسع، وأداة FinFisher FinSpy من Gamma. في العام الماضي، وصفت جوجل مثل هؤلاء الفاعلين بأنهم يمثلون ما يقرب من نصف جميع ثغرات الصفر في منتجاتها بين عامي 2014 و2023. وفي الشهر الماضي، حظر قاضٍ في محكمة فدرالية أمريكية مجموعة NSO رسمياً من عكس هندسة واتساب لأغراض توصيل البرمجيات الخبيثة.
بدأ المسار الذي أدى إلى اكتشاف Unit 42 لبرمجيات لاندفول من خلال تحقيقه في الأنشطة الخبيثة المتعلقة بـ CVE-2025-43300، وهو عيب يوم الصفر الذي أثر على مكون تحليل الصور DNG في نظام iOS من آبل. بعد إعلان آبل، أفادت واتساب عن عيب يوم الصفر (CVE-2025-55177) في ميزة مزامنة الأجهزة التي كان المهاجمون يقومون بسلسلة مع CVE-2025-43300 لإجبار الأجهزة المخترقة على معالجة المحتوى من عناوين URL التي يتحكم بها المهاجمون. في سبتمبر، أفادت واتساب عن ثغرة مشابهة (CVE-2025-21043) لسامسونج أيضًا.
طريق الاكتشاف
أدى سعي Unit 42 وراء الأنشطة الخبيثة على نظام iOS إلى اكتشاف ملفات DNG مشوهة تحتوي على لاندفول التي تم تحميلها إلى VirusTotal في عامي 2024 و2025. أظهر تحليل بائع الأمن أن البرمجيات الخبيثة مصممة بشكل وحدوي ومهيأة لمراقبة أجهزة سامسونج الراقية مثل سلسلة Galaxy S22 وS23 وS24 وسرقة البيانات منها.
استنادًا إلى سلاسل الأوامر ومسارات التنفيذ التي حددها الباحثون، وجدوا أن لاندفول مجهزة للقيام بعمليات بصمة الجهاز، واستخراج البيانات، وتنزيل حمولات إضافية.
ما كان يثير القلق هو آليات التهرب من الكشف الخاصة بلاندفول. وجد فريق Unit 42 أن البرمجيات الخبيثة تتضمن عدة آليات مضادة للتحليل للكشف عن متى يتم فحصها من قبل باحثين في الأمن، وتحديد متى يتم تصحيحها، والكشف عن أطر عكس الهندسة الشائعة، ومنح نفسها امتيازات مرتفعة.
حدد باحثو Unit 42 ما لا يقل عن ستة خوادم تحكم وتحكم (C2) التي استخدمها المهاجمون للتواصل مع البرمجيات الخبيثة. كان لدى بنية C2 الخاصة بلاندفول تداخلات متعددة مع البنية المرتبطة بـ Stealth Falcon، وهو مزود آخر لحملة تجسس مستهدفة. “ت suggest evidence circumstantial that there could be a link between this group and the United Arab Emirates (UAE) government, but that has not been confirmed,” قال Unit 42. ومع ذلك، أضافت أنه بخلاف التداخل في البنية، لا توجد أي بيانات حتى الآن تشير إلى وجود رابط مباشر بين Stealth Falcon و لاندفول.
مع استمرار تطور التهديدات الإلكترونية، من الضروري أن يبقى المستخدمون على دراية بأحدث أساليب الهجوم. يجب على مستخدمي سامسونج جالاكسي اتخاذ الاحتياطات اللازمة لحماية بياناتهم وأجهزتهم من مثل هذه البرمجيات الخبيثة.
